World Backup Day: Alles gesagt?

Alle Jahre wieder: der World Backup Day steht auf dem Kalender. Und wie jedes Jahr, frage ich mich, wie relevant dieser Tag wirklich für unsere Branche ist, aber darüber habe ich mich bereits in meinem Kommentar im Jahr 2022 ausgelassen, den Sie hier nochmal lesen können. Eigentlich – so meine naive Sicht der Dinge – haben wir zum Thema Backup schon alles gesagt.

Schaut man sich auf der Webseite des Welt-Backup-Tages um, wird klar, dass die Zielgruppe private Endanwender sind und nicht die Branchenexperten, Admins und IT-Entscheider, die sich ohnehin täglich mit Backups und Recovery sowie Cybersicherheit und Resilienz auseinandersetzen müssen. Braucht es also einen World Backup Day?

Man könnte meinen, dass die Antwort ein klares Nein sein sollte, wie gesagt, jeder, der in der IT arbeitet, müsste eigentlich ob der Notwendigkeit für sichere, zuverlässige und regelmäßige Backups wissen. Aber ich befürchte, ganz so einfach ist es nicht. Wer Backup sagt, muss weitaus mehr Faktoren in Betracht ziehen als die reine, „einfache“ Datensicherung. Wer Backup sagt, muss auch Recovery, Tests, Automatisierungen, Datenklassifizierung, Resilienz, Integration in die Cybersicherheitsstrategie und Einbeziehung der Managementebene meinen, mindestens. Künstliche Intelligenz (KI) lasse ich hier bewusst außen vor.

Das bedeutet nichts anderes, als dass auch bei Datensicherungen der Teufel im Detail steckt. Backups von vor 20 Jahren sahen anders aus als heute. Nicht nur die Datenmengen und -typen haben sich verändert, auch die Backup-Systeme bieten mehr und die möglichen Schwachstellen und Bedrohungen sind weitaus mehr geworden. Nach wie vor gilt, eine Wiederherstellung (Recovery) kann immer nur so gut sein, wie das Backup. Unternehmen müssen sicherstellen, dass wirklich nur relevante Daten und im besten Fall ihrer Retention-Vorgabe abgelegt werden. Darüber hinaus muss die Datenintegrität und Datenzugriffsrechte ständig überwacht werden. Das funktioniert nur mit regelmäßigen Tests, aber in einer unter Druck stehenden IT-Umgebung wird dieser Punkt gern über Bord geworfen. Anbieter von Backup-Lösungen werfen hier gern die Automatisierung in den Ring. Das löst aber nicht das grundsätzliche Problem und könnte sogar zu einem falschen Sicherheitsgefühl führen. Manuelle Interaktion kann bei allen Datensicherungsprozessen nicht völlig ausgeschlossen werden.

Apropos Prozesse: Mittlerweile sehen viele Experten, dass die seit Jahren gesetzte 3-2-1-Backup-Regel nicht mehr weit genug greift. Die Regel besagt (sollte ich hier eigentlich nicht erwähnen müssen), drei Kopien auf zwei Medien und eine an einem externen Standort zu speichern. Jetzt soll die 3-2-1-1-0-Strategie für mehr Sicherheit vor Ransomware oder anderer Schadsoftware sowie für Datenintegrität sorgen. Die zweite 1 steht für eine Offline-Kopie, beispielsweise durch ein Air Gap, die 0 null Fehler im Backup. Bei letzterem stehen wir dann wieder vor dem oben angesprochenen Problem: Tests, Tests, Tests. Die helfen dann auch, notwendige Anpassungen zu erkennen.

Darüber hinaus hilft Datenklassifizierung dabei, die Daten richtig zu sichern und je nach Vorgaben auch wirklich zu löschen. Auch das ist Teil der Datensicherung, denn nur wer regelmäßig aufräumt, kann seine Backup-Systeme effizient nutzen.

Der erste Schritt ist aber immer noch, überhaupt ein Backup zu konfigurieren. Vor kurzem sprach ich mit einem Fachmann einer Speichermedienfirma und auf die Frage, ob und warum der World Backup Day noch Relevanz hat, sagte er schlicht: „Weil wir immer noch predigen müssen, dass Backups gemacht werden“. Diese Aussage finde ich erschreckend, bedeutet dies letztendlich, dass ich auch nächstes Jahr einen Kommentar schreibe. Und somit haben wir einen Murmeltiertag der IT-Branche geschaffen.